NccTrojan
تهدید nccTrojan در مجموعهای از حملات مورد استفاده قرار گرفته است که گمان میرود توسط یک گروه APT (تهدید پایدار پیشرفته) تحت حمایت چین موسوم به TA428 انجام شود. مجرمان سایبری شرکت های مرتبط با نظامی و موسسات عمومی واقع در چندین کشور اروپای شرقی و افغانستان را هدف قرار می دهند. به نظر میرسد هدف کمپینهای تهدیدآمیز جمعآوری دادهها و جاسوسی سایبری باشد، به طوری که عاملان تهدید شش تهدید مختلف بدافزار را بر روی دستگاههای نقض شده حذف میکنند.
دسترسی اولیه به دستگاه ها از طریق کمپین های فیشینگ نیزه ای بسیار هدفمند حاصل می شود. هکرهای TA428 ایمیل های فریبنده سفارشی می سازند تا علیه سازمان های خاص مورد استفاده قرار گیرند. برخی از ایمیلهای فیشینگ حتی حاوی اطلاعات محرمانه یا خصوصی بودند که در دسترس عموم نیستند. هنگامی که قربانیان اسناد Word مسلح شده را که به ایمیلهای فریبنده متصل شدهاند را اجرا میکنند، یک کد خراب را راهاندازی میکند که از آسیبپذیری CVE-2017-11882 سوء استفاده میکند. جزئیات حملات و زرادخانه مضر هکرها در گزارشی از محققان امنیتی منتشر شد.
تجزیه و تحلیل nccTrojan
بدافزار nccTrojan قبلاً به TA428 نسبت داده شده است. در واقع، به نظر می رسد که این تهدید به طور فعال توسط مهاجمان توسعه یافته است. نصب تهدید بر روی دستگاه نقض شده با دانلود چندین فایل از سرور Command-and-Control (C2, C&C) آغاز می شود. فایل اجرایی در قالب یک فایل cab. با نام دلخواه تحویل داده می شود. ابزار توسعه سیستم برای باز کردن بسته بندی فایل تحویل شده در یک فهرست موجود متعلق به یک محصول نرم افزاری قانونی مورد نیاز است. علاوه بر این، هکرها یک مؤلفه نصب کننده ویژه را که وظیفه ثبت DLL nccTrojan را به عنوان یک سرویس دارد، حذف می کنند. انجام این کار تضمین می کند که تهدید به طور خودکار در هر راه اندازی سیستم بارگیری می شود.
پس از فعال شدن، ماژول اصلی nccTrojan سعی می کند با لیستی از آدرس های C2 کدگذاری شده ارتباط برقرار کند. تمام ارتباطات بعدی به سروری که ابتدا پاسخ می دهد منتقل می شود. در طول تماس اولیه، تهدید همچنین اطلاعات کلی مختلفی را درباره سیستم نقض شده ارسال می کند، مانند نام رایانه، آدرس IP، نام کاربری، نسخه بدافزار، داده های محلی سازی سیستم و موارد دیگر. nccTrojan همچنین قابلیت های درب پشتی، توانایی اجرای دستورات، راه اندازی فایل های اجرایی، کشتن فرآیندهای انتخابی، دستکاری سیستم فایل، واکشی بارهای اضافی از C2 و موارد دیگر را در اختیار مهاجمان قرار می دهد.